2021年零日漏洞利用激增

2021年，恶意黑客加大零日漏洞利用力度，遭利用的零日漏洞数量创历史新高，且大多数源自微软、谷歌和苹果的软件。

一如既往，国家支持的高级持续性威胁（APT）组织仍然是漏洞利用的主力军。但是，他们不是唯一的漏洞利用力量：求财型黑客团伙，尤其是勒索软件攻击团伙，大大增加了对零日漏洞的利用，利用零日漏洞的攻击者中三分之一都是这类黑客团伙。

本周，两份咨询报告分别指出，软件漏洞在补丁推出前即遭利用的情况大幅增加。这两份报告一份出自Mandiant，另一份出自谷歌安全团队Project Zero。Mandiant指出，2021年有80个软件漏洞在补丁推出前即遭到黑客利用；谷歌则识别出了58个此类零日漏洞。

按照Mandiant的说法，相较于2020年录得的30个，2021年的80个零日漏洞利用代表着167%的增长，而且比2019年的此前最高纪录32个也增加了一倍多。至于谷歌观察到的58个零日漏洞利用，则是该公司2020年所录25个的两倍还多，也是谷歌2015年最高纪录28个零日漏洞的两倍多。

Mandiant表示，出自微软、谷歌和苹果的漏洞占了去年遭利用零日漏洞的75%，这可能是因为这三家公司的技术遍布全球，应用广泛。谷歌自2014年开始维护的一张零日漏洞电子表格显示，该公司去年观测到的58个零日漏洞利用中有16个都是该公司自己的技术；21个归属微软的产品；13个出自苹果的产品。剩下的漏洞分属其他九个供应商，包括高通、趋势科技、SonicWall、Accellion（现为Kiteworks）和Pulse Secure。

2012年至2021年期间遭利用的零日漏洞

Mandiant首席分析师James Sadowski表示，这些数据凸显企业不能忽视恶意攻击者在非流行技术中寻找和利用零日漏洞的可能性。

他说道：“尽管主流供应商依然是零日漏洞利用的主要目标，但我们也越来越多地观测到主流供应商之外的零日漏洞利用，两类技术和供应商遭遇的零日漏洞利用都增加了。”

几乎过时的一款Accellion产品中的漏洞造成多家大型企业发生数据泄露事件，谈及此事时Sadowski表示：“正如我们在Accellion FTA漏洞利用中观察到的那样，恶意攻击者能够利用这些系统中的漏洞，造成重大损害。”

零日漏洞利用暴增原因多样

Mandiant发现，去年零日漏洞利用大幅增长是多种原因推动的。该公司认为，企业越来越多地采用云、移动和物联网技术，增加了企业的在用软件数量，因而漏洞发现数量也随之增多。负责交易零日漏洞的所谓漏洞利用经纪人数量增加也是一个因素，这些漏洞利用经纪人促使零日漏洞利用团伙增加了对研发的投资。与此同时，谷歌指出，零日漏洞检测和披露的改善刺激了零日漏洞的涌现。Mandiant也表示这是可能因素之一。

Mandiant的分析显示，国家支持的黑客组织继续统治零日漏洞利用山河。但是，勒索软件和出于经济利益动机的其他威胁团伙在攻击中使用零日漏洞的数量也明显增加了。

Mandiant首席分析师Sadowski称，这些恶意黑客可能是从地下漏洞利用经纪人和犯罪服务提供商那里购买零日漏洞利用程序，要不然就是招募必要的人才来内部研究漏洞并开发零日漏洞利用程序，正如Conti勒索软件团伙案例中所呈现的那样：Conti泄出的聊天文件表明这伙黑客会讨论最近披露的漏洞，并分配人手构建扫描器来识别潜在的脆弱系统。

Sadowski说道：“我们可以看到，随着勒索软件团伙从其攻击活动中攫取到越来越多的资金，他们更加频繁地在攻击中使用零日漏洞利用程序。但总的说来，我们非常难以确定恶意黑客可能在哪里得到零日漏洞利用程序。”

Viakoo首席执行官Bud Broomhead表示，零日漏洞利用的增加表明：恶意黑客正将其攻击途径转到传统威胁评估和检测解决方案无法发现的漏洞上去。“为什么不仅零日漏洞威胁，还有物联网漏洞利用和开源软件漏洞利用都是快速增长的企业威胁？这就是原因所在。”企业面临的挑战在于弄清怎样限制成功零日漏洞攻击的伤害，弄清如何防御针对新型攻击途径的漏洞利用。

Netenrich首席威胁猎手John Bambenek表示，不断增加的零日漏洞利用表明企业需要具备快速修复能力。

“在漏洞修复方面，企业需要保持灵活性和敏捷性，尽可能多地清除修复障碍，例如简化测试和变更管理。”